GeForce Experience -ohjelmasta löytynyt haitallisen koodin ajon korotetuin oikeuksin mahdollistanut haavoittuvuus on ollut olemassa sovelluksen ensimmäisistä versioista asti. Haavoittuvuus on korjattu viimeisimmässä 3.18-versiossa.

NVIDIAn GeForce Experience -sovelluksesta on löytynyt merkittävä haavoittuvuus. Yhtiön mukaan haavoittuvuus mahdollistaa muun muassa vihamielisten prosessien ajon ja oikeuksien noston korkeampaan luokkaan.

NVIDIAn GeForce Experiencen haavoittuvuudelle on annettu tunnistekoodi CVE-2019-5674. Haavoittuvuus vaatii koodin ajon suoraan kohteena olevalla kokoonpanolla ja se vaatii NVIDIAn ShadowPlayn, NvContainerin tai GameStreamin olevan päällä. Tällöin, kun käyttäjä avaa tiedoston ohjelman kautta, se ei tarkista tiedostoa mahdollisten Hard Link -viittausten varalta. Hard Link viittaa tiedostojärjestelmän ominaisuuteen, joka mahdollistaa saman tiedoston esiintymisen usealla eri nimellä.

GeForce Experiencen kautta Hard Link -ominaisuudella vaarattomana esiintyvä tiedosto voi tulla ajetuksi ilman tarkistuksia, mikä mahdollistaa erilaisten haitallisten koodien ajamisen ja prosessin oikeuksien noston korkeammille tasoille. Haavoittuvuus on ollut olemassa ohjelmassa sen ensimmäisistä versioista lähtien.

NVIDIA on nyt julkaissut GeForce Experience -sovelluksesta uuden 3.18-version, jossa haavoittuvuus on korjattu.

Lähde: NVIDIA

This site uses XenWord.